FFmpeg corrige falha PixelSmash em decoder de vídeo amplamente usado

A falha PixelSmash (CVE-2026-8461) explora um erro de transbordamento de buffer no decoder MagicYUV do FFmpeg, onde a diferença entre o cálculo da altura dos planos de crominância pelo alocador e pelo decoder permite escrever um byte além do limite do heap. Isso não é apenas um bug de memória, é uma porta de entrada para execução remota de código em servidores de mídia como Jellyfin e Nextcloud, onde a varredura automática de arquivos gera thumbnails ou extrai metadados sem intervenção humana. Aplicações que confiam no FFmpeg para processar vídeos de fontes desconhecidas, como Slack, Discord ou até sistemas de galeria de fotos, correm risco mesmo sem abrir o arquivo manualmente.

A gravidade está no contexto: muitos sistemas usam FFmpeg como biblioteca de confiança, sem validar os formatos de entrada. O MagicYUV, pouco conhecido fora do nicho de gravação de vídeo profissional, está habilitado por padrão em builds genéricos do FFmpeg. Isso transforma a vulnerabilidade em um problema de cadeia de suprimentos, não apenas de código. A correção no FFmpeg 8.1.2 é urgente, mas só resolve o problema se todos os softwares que embutem a biblioteca atualizarem seus binários, e muitos não fazem isso.

Essa falha mostra como um decoder raro, usado por poucos desenvolvedores, pode se tornar uma ameaça global por causa da dependência massiva do FFmpeg. Servidores autohospedados, que muitas vezes não recebem atenção de segurança, são os mais vulneráveis, especialmente os que automatizam a análise de arquivos recebidos. Se um atacante colocar um vídeo malicioso em um compartilhamento de torrents ou em um repositório de mídia, ele pode executar código no servidor sem que ninguém clique em nada. Isso não é teoria: o time da JFrog já demonstrou o exploit funcionando no Jellyfin. Para empresas que usam ferramentas como PhotoPrism ou OBS, a atualização não é opcional. É uma medida de sobrevivência.